FR2856540A1 - Architecture de reseau local sans fil - Google Patents

Architecture de reseau local sans fil Download PDF

Info

Publication number
FR2856540A1
FR2856540A1 FR0350234A FR0350234A FR2856540A1 FR 2856540 A1 FR2856540 A1 FR 2856540A1 FR 0350234 A FR0350234 A FR 0350234A FR 0350234 A FR0350234 A FR 0350234A FR 2856540 A1 FR2856540 A1 FR 2856540A1
Authority
FR
France
Prior art keywords
network
wireless
implementing
local area
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0350234A
Other languages
English (en)
Inventor
Jean Rene Labarriere
Vincent Jamoulle
Jean Paul Mallet
Stephen Turner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FILFREE NETWORKS
Original Assignee
FILFREE NETWORKS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FILFREE NETWORKS filed Critical FILFREE NETWORKS
Priority to FR0350234A priority Critical patent/FR2856540A1/fr
Priority to PCT/FR2004/050225 priority patent/WO2005002147A1/fr
Publication of FR2856540A1 publication Critical patent/FR2856540A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

La présente invention se rapporte à un procédé de mise en oeuvre d'une architecture de réseau local sans fil d'échange de données numériques comportant une pluralité d'équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d'interconnexion desdits équipements par maillage,caractérisé en ce que ledit procédé comporte des étapes de définition de règles de déploiement du réseau, et des étapes d'application de ces règles au moment de chaque création d'une connexion entre une ressource client d'un équipement et une ressource serveur d'un autre équipement dudit réseau local.La présente invention se rapporte également à une architecture pour la mise en oeuvre du procédé.

Description

ARCHITECTURE DE RESEAU LOCAL SANS FIL
La présente invention se rapporte au domaine des réseaux locaux sans fil.
La présente invention se rapporte plus particulièrement à un procédé de mise en oeuvre d'une architecture de réseau local sans fil d'échange de données numériques comportant une pluralité d'équipements comportant chacun des ressources client et des ressources 10 serveur ainsi que des moyens d'interconnexion desdits équipements par maillage.
L'informatique moderne est essentiellement basée sur les réseaux. Cette notion de réseau est omniprésente, la mise est relation des ordinateurs est à l'origine d'une 15 révolution des outils de communication, vecteur de culture et de liberté. La place de l'ordinateur a évolué du statut de super machine à calculer, puis d'outil de travail ou de loisir à celui de poste multi média, sorte de fenêtre ouverte sur le monde. L'apparition puis l'omniprésence 20 d'Internet, sorte de réseau des réseaux, représente une étape de plus. Même si Internet n'est qu'un ensemble de moyens matériels et logiciels pour assurer les communications entre ordinateurs, il est devenu un enjeu politique, économique, culturel et philosophique de 25 dimension planétaire bien plus par le contenu des informations qu'il véhicule que par sa technologie.
Internet a perdu sa couleur exclusivement technologique en même temps qu'il devenait disponible à tous, on se " connecte " aujourd'hui aussi naturellement que l'on 30 achète un journal. Du point de vue des utilisateurs, il est intéressant d'associer la banalisation d'Internet avec celle de la téléphonie mobile.
Si la synergie apparaît naturelle pour les utilisateurs de ces deux technologies, il convenait jusqu'à présent d'opposer la mobilité du téléphone à la sédentarité liée à la nature essentiellement filaire des accès à haut débit au réseau Internet, la mobilité d'accès se faisant au prix de la performance. Ce lien entre mobilité et 5 performance est apparu avec la technologie des réseaux sans fil aujourd'hui en grande partie supportée par les produits de type WLAN et WiFi alignés avec les normes IEEE 802.11.
Cependant les problèmes posés par cette technologie sont apparus très tôt notamment la capacité de cette technologie 10 à supporter l'extension géographique des réseaux ainsi qu'au niveau de la sécurité et de l'intégrité des données échangées. L'invention décrite permet de résoudre ces problèmes de façon innovante.
Afin de comprendre les différences d'architecture, 15 d'implémentation et les bénéfices de l'invention il est important de rappeler l'état actuel des technologies sans fil.
Le fait de s'affranchir des contraintes de câblage représente des avantages de mobilité et de flexibilité ; 20 les technologies actuelles et plus particulièrement WLAN et Wifi offrent ces avantages. Ces produits adoptent la suite de norme IEEE 802.11 qui définit principalement une méthode d'accès, ou connectivité, sans fil à un réseau câblé. On parle généralement de points d'accès (AP). Sous sa forme 25 générique, un point d'accès est un transmetteur sans fil qui permet la connexion sans fil à un réseau câblé de type LAN. Un point d'accès gère cette connexion de telle façon que les clients du réseau câblé et les clients du réseau sans fil ont l'illusion d'être membre d'un même réseau.
Les principales contraintes et limitations de ces produits de WLAN sont: * La sécurité. Les mécanismes d'authentification ne sont pas basés sur une authentification mutuelle.
ò Contrôle limité de la topologie du réseau sans fil.
ò Pas d'outils intégré de supervision du réseau sans fil.
À Problème des noeuds cachés ou défectueux. La possibilité de se connecter et la qualité de cette connexion ne sont pas déterministes.
À Problème de couverture géographique du réseau sans fil. L'extension du réseau sans fil est liée à la 10 disponibilité d'un réseau câblé.
O Les protocoles travaillent principalement au niveau 2 du modèle ISO. La bande passante est souvent dégradée par les émissions diffusées (broadcast) provenant du LAN et le trafic multicast. 15 Les points d'accès utilisent des mécanismes de cryptage des données afin de garantir la confidentialité et l'intégrité des transferts. Malheureusement, le mécanisme employé, WEP, comporte de nombreuses faiblesses. Le WEP 20 utilise l'algorithme de codage RC4 qui utilise la même clé pour chiffrer et déchiffrer les paquets, cette clé pouvant être de 40 jusqu'à 128 bits. Les faiblesses de ce protocole et des mécanismes d'échange des clés sont telles qu'un pirate peut déchiffrer un message en analysant l'équivalent 25 d'environ cinq heures de transmission de données. De plus, le gestionnaire de clés de codage de WEP peut réutiliser les mêmes clés de façon suffisamment "prévisible", pour qu'il devienne possible d'analyser le trafic du réseau et de corréler les données aux clés utilisées, ce qui permet 30 ensuite de casser les codes. Ces techniques de piratages sont tout aussi efficaces sur des codages RC4 à 40 bits que sur ceux à 128 bits.
Un point d'accès dans sa forme basique ne permet la connexion que de clients sans fil (1 de la Figure 1), les autres points d'accès ne sont pas reconnus ni connectés. La distance maximale entre le point d'accès et le client est la " limite de portée radio ", comprise entre 50 mètres en intérieur et quelques centaines de mètres en extérieur. Au5 delà de cette distance maximale, la connectivité ne peut plus être assurée. Certains constructeurs ont inclus la possibilité d'utiliser des points d'accès pour créer des " ponts " de réseau et relayer des réseaux filaires (2 de la Figure 1). Dans cette configuration, les points d'accès 10 deviennent des ponts de réseau sans permettre la connexion de clients sans fil. Par extension, les deux fonctionnalités ont été intégrées pour créer des ponts sans fil entre des segments de réseau filaire et permettre aussi la connexion de clients (3 de la Figure 1). Cette catégorie 15 d'équipements peut prêter à confusion dans la mesure ou l'implémentation reste limitée en raison des contraintes suivantes: * L'implémentation est souvent spécifique à un constructeur donné. Dans la plupart des cas, il convient 20 d'utiliser des équipements d'un même constructeur.
* La fonctionnalité de l'équipement inférieur se limite au pont de réseau, il ne peut pas se comporter comme un point d'accès.
Un LAN peut être caractérisé comme un média offrant une bande passante élevée, supportant l'émission diffusée (broadcast) et permettant des accès multiples et partagés.
Cette définition s'applique tout à fait aux WLANs.
Cependant plusieurs aspects importants sont souvent 30 négligés quand les capacités et les fonctionnalités des LANs sont transposées au monde sans fil: O Les LANs supportent généralement des taux d'erreur extrêmement bas de l'ordre de 10-9 tandis que WLANs ont des taux d'erreur de l'ordre de 10-5 à 10-6, soit trois ordres de grandeur.
a Le rapport prix/performances des équipements WLANs reste considérablement inférieur à celui des LANs. La 5 bande passante d'un réseau sans fil est une ressource beaucoup plus sensible que celle d'un réseau câblé.
La conjonction d'un taux d'erreurs élevé et d'une bande passante moindre signifie que l'utilisation directe 10 des protocoles spécifiques au LAN avec des WLAN sans fil peut générer des problèmes très importants de fiabilité et d'efficacité. Le problème des noeuds cachés ou défectueux peut sérieusement compromettre le bon fonctionnement d'un réseau sans fil puisque ce réseau n'est pas déterministe en 15 termes de connectivité de base et de bande passante. Un exemple de cette problématique est l'utilisation des ponts sans fil fonctionnant en mode point à point ou en mode point à multipoint.
Dans un LAN transversal, un des objectifs des algorithmes de gestion de l'arbre de diffusion est d'éliminer les boucles de réseau. La conséquence est que le chemin entre deux stations peut être sub-optimal en terme de " distance " de transit d'un paquet de données. Ceci est 25 cependant peu significatif en raison de la bande passante élevée, du relatif faible coût et de la segmentation des domaines de collision.
Dans un environnement WLAN courant, les 30 optimisations ne se produisent que lorsque le chemin direct est employé entre deux stations en raison de la bande passante inférieure et de la possibilité d'un domaine de collisions partagé au niveau physique (couche 1 du modèle ISO). En outre, le fonctionnement correct de l'algorithme de diffusion dépend des paquets de commande du " pont de réseau " qui peuvent être corrompus ou perdus.
Le manque de cohésion et de convergence du réseau peut avoir des conséquences désastreuses si des boucles sont créées, même pendant une période très courte.
Bien que de nouvelles normes qui devraient corriger certaines des insuffisances des WLANs sont à l'étude, nous croyons que les produits utilisant les protocoles actuels 10 doivent être utilisés uniquement comme des possibilités d'accès et que le plus grand soin doit être apporté à comprendre les différences fondamentales entre ces deux types de média.
La portée des équipements WLANs et limitée par la faible puissance autorisée à l'émission mais aussi par la bande de fréquence utilisée (2. 4GHz). Cette portée est d'environ 50 mètres en intérieur et de quelques centaines de mètres en extérieur. Au-delà de cette limite, la 20 connexion n'étant plus assurée, il convient de rajouter des équipements d'accès connectés au réseau filaire ou de configurer l'équipement en mode pont de réseau. Cette dernière solution n'est pas satisfaisante essentiellement en raison du problème des noeuds cachés ou défectueux exposé 25 précédemment. De plus des problèmes de sécurité peuvent se poser dans la mesure ou l'augmentation de la couverture géographique augmente la visibilité du réseau et les risques de piratage. Très souvent, les utilisateurs se contentent de penser que la faible portée de leur réseau 30 sans fil constitue un moyen de se protéger.
L'art antérieur connaît déjà, par la demande de brevet américain US 2003/0104829, une technique pour établir un backbone virtuel dans un réseau sans fil ad hoc.
Un algorithme pour créer un backbone virtuel dans un réseau sans fil ad hoc utilise trois phases pour établir un réseau efficace parmi les équipements indépendants du réseau sans fil ad hoc. Des équipements indépendants dans les champs de 5 transmission des autres sont voisins. Une phase de sélection d'un " leader " et de construction d'un arbre permet de construire un arbre des équipements voisins, un des équipements étant désigné comme étant la racine et chaque équipement établissant et enregistrant sa position 10 dans la structure d'arbre et les identifiants des voisins; et émettant un message lorsque l'arbre est construit. Une phase de calcul de niveau détermine la distance de chaque équipement de l'équipement racine, chaque équipement enregistrant le niveau (ou distance à la racine) de ses 15 voisins. La priorité pour chaque équipement est établie en considérant le niveau dans l'arbre de chaque équipement et son identifiant, le niveau dans l'arbre étant primordial pour la détermination de la priorité. De plus, un message est émis lorsque les niveaux de l'arbre sont établis. Une 20 phase de construction du backbone permet de qualifier tous les équipements de dominateur ou de dominé, les dominateurs formant le backbone du réseau et les dominés étant voisins d'un dominateur. Au sein du réseau, chaque équipement a uniquement besoin de connaître les informations de ses 25 équipements voisins.
Le but de la présente invention est de définir une nouvelle approche des réseaux sans fil qui remplit les objectifs suivants: * Définir une architecture qui permet de conserver les avantages de flexibilité et de souplesse des réseaux sans fil, d'étendre ses capacités et de contourner les problèmes inhérents à cette technologie afin d'offrir une alternative au moins équivalente, voire supérieure aux services offerts par les réseaux câblés.
* Construire un système d'exploitation qui implémente cette architecture de façon indépendante de la 5 plate-forme matérielle et définir des protocoles, des services, des outils et des interfaces indépendants de la technologie radio employée. Le but est d'étendre l'architecture à d'autres technologies que WiFi. Ceci est un des points clés de l'invention.
* Réduire, voire supprimer les contraintes vis-àvis des utilisateurs de l'infrastructure et des services intégrés.
* Supprimer les contraintes de déploiement symptomatiques des produits WLANs actuels et de leur 15 dépendance vis-à-vis de l'infrastructure câblée.
* Contrôler globalement l'infrastructure sans fil par de règles et des politiques prédéfinies.
* Supporter l'extension pratiquement illimitée de l'infrastructure de réseau sans fil et de la couverture 20 géographique de ce réseau en dehors de toute dépendance vis-à-vis d'un réseau câblé * Maximiser la résilience et la fiabilité de ce réseau au travers d'une architecture multi route de réseau maillé.
* Supporter l'intégration simple et sans contraintes au sein d'une infrastructure de réseau câblé lorsque celle-ci est déjà présente.
* Supprimer les problèmes de sécurité des réseaux sans fil en définissant des protocoles indépendants des 30 couches réseaux ISO1 et ISO2 et implémenter cette sécurisation au travers de méthode d'encryptage fiables et transparentes qui ne nécessite pas l'emploi de méthode spécifique par l'utilisateur final.
* Optimiser l'utilisation du spectre radio en supprimant les contraintes de topologie et de déploiement.
* Minimiser les étapes nécessaires à la configuration de l'infrastructure sans fil tout en restant souple et flexible.
* Supporter les protocoles de gestion de réseau standard afin de pouvoir superviser l'infrastructure sans fil au même titre qu'un réseau câblé par les outils de configuration, de gestion des incidents et d'analyse des 10 performances les plus répandus.
A cet effet, la présente invention concerne, dans son acception la plus générale, un procédé de mise en oeuvre d'une architecture de réseau local sans fil d'échange de 15 données numériques comportant une pluralité d'équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d'interconnexion desdits équipements par maillage, caractérisé en ce que ledit procédé comporte des étapes de définition de règles de 20 déploiement du réseau, et des étapes d'application de ces règles au moment de chaque création d'une connexion entre une ressource client d'un équipement et une ressource serveur d'un autre équipement dudit réseau local.
De préférence, lesdites règles sont hiérarchiquement distribuées à plusieurs niveaux, chacun desdits niveaux comportant les ressources suffisantes pour son fonctionnement.
Avantageusement, lesdits échanges de données 30 numériques sont sécurisés grâce à des moyens d'encryptage spécifiques et indépendants du protocole radio utilisé.
De préférence, le réseau sans fil met en oeuvre une norme du type 802.11, BlueTooth ou DECT.
Selon un mode de mise en oeuvre particulier, le procédé comprend en outre des étapes de supervision desdits échanges de données et du trafic desdites données numériques.
Selon une variante, le procédé comprend en outre des étapes d'optimisation en temps réel de la structure du réseau, ces étapes permettant de garantir la qualité de service dudit réseau.
Selon une autre variante, le procédé comprend en 10 outre une étape d'intégration d'au moins un nouvel équipement, cette intégration permettant d'étendre la couverture du réseau et étant réalisée en mettant en oeuvre lesdites règles de déploiement.
La présente invention se rapporte également à une 15 architecture de réseau local pour la mise en oeuvre du procédé.
On comprendra mieux l'invention à l'aide de la description, faite ciaprès à titre purement explicatif, 20 d'un mode de réalisation de l'invention, en référence aux figures annexées: * la figure 1 illustre l'architecture élémentaire des équipements sans fil IEEE802.11; * la figure 2 illustre une comparaison entre 25 différents réseaux; * la figure 3 illustre la délinéation entre backbone et accès; * la figure 4 représente les canaux FMP; * la figure 5 illustre la topologie maillée 30 structurée étendue; * la figure 6 représente la distribution de la politique globale du réseau; * la figure 7 représente la création de connexion, et plus particulièrement la négociation; * la figure 8 illustre la création de connexion, et plus particulièrement l'authentification et l'encryptage; * la figure 9 illustre un réseau non partitionné ; * la figure 10 représente un réseau partitionné ; * la figure 11 illustre un réseau multi zones; 10 et * la figure 12 illustre un réseau multi zones, dans lequel les zones sont connectées; * la figure 13 représente le mécanisme d'échange des paquets dans le cadre du procédé de sécurisation; et * la figure 14 représente la création des liens au niveau de l'accès liaison dans le cadre du procédé de sécurisation.
Le concept de l'invention repose principalement sur 20 celui de réseau maillé structuré utilisant un médium sans fil. Dans les réseaux point à point (ad hoc) toutes les stations désirant échanger des données doivent établir une connexion directe avec les stations adjacentes. Si une station intègre la capacité de faire transiter les données 25 de façon transparente, le réseau devient alors maillé et ce besoin de connexion directement adjacente disparaît.
La Figure 2 illustre une comparaison de différents types de réseaux.
Cette capacité de transfert de données est 30 supportée par de nombreux types de stations et permet de créer des structures de réseaux hautement dynamiques et flexibles à moindre coût. Cette solution a déjà été mise en oeuvre ainsi bien pour les réseaux câblés que pour les réseaux sans fil. Cependant dans le cas des réseaux sans fil, l'intégration de stations de nature hétérogènes, y compris des stations dédiées aux utilisateurs finaux (type PC), au sein de ce réseau maillé crée de nombreuses 5 faiblesses. Le réseau devient non déterministe au niveau des stations elles-mêmes et la nature hautement dynamique et hétérogène de cette architecture le rend difficile à gérer, à contrôler et à sécuriser.
L'approche de l'invention est de conserver les 10 avantages inhérents à la flexibilité et la souplesse de déploiement des réseaux maillés tout en contraignant la structure et la topologie de ce réseau en appliquant des politiques prédéfinies.
Cette contrôle de la structure du réseau maillé 15 s'applique à trois niveaux: 1. Au niveau de l'architecture, le réseau d'acheminement des données (appelé backbone) est clairement différencié du réseau offrant l'accès aux utilisateurs, 2. Le backbone est composé de stations homogènes formant l'infrastructure de service d'acheminement des données.
3. Des règles de contrôle sont imposées à toute la topologie du réseau au niveau de son déploiement, du transfert et de l'acheminement des données et de la 25 sécurité et de l'intégrité de ces données.
La technologie ainsi mise en oeuvre applique les principes des réseaux maillés à la construction d'une infrastructure de réseau sans fil capable de délivrer des services de communication d'une qualité, d'une performance, 30 d'une prédictibilité et d'une sécurité équivalente et même supérieure dans certains aspects à celles offertes par les infrastructures de réseaux câblés.
L'architecture mise en oeuvre par l'invention définit deux couches distinctes, respectivement la couche d'acheminement (backbone) et la couche d'accès. Ces deux couches sont logiquement distinctes et isolées. Les 5 caractéristiques spécifiques des réseaux sans fil décrites précédemment (émission diffusée, multi accès) ne sont pas propagées d'une couche à l'autre créant ainsi une forte délinéation entre ces deux couches. Au sein de ces deux couches, le paradigme de réseau point à point est 10 systématiquement appliqué afin de maximiser son efficacité et de faciliter le contrôle du son déploiement et de la sécurité. Le concept de LAN sans fil (WLAN) ne s'applique absolument pas à l'invention dans la mesure ou l'architecture définie est totalement différente. 15 Cependant, du point de vue des utilisateurs finaux connectés à ce réseau, son comportement opérationnel est totalement transparent et se rapporte entièrement à celui d'un LAN. Au niveau de la couche d'acheminement (backbone), un réseau maillé sans fil est créé entre les stations 20 homogènes supportant notre architecture dans le but de former une infrastructure déterministe à laquelle les utilisateurs finaux vont pouvoir se connecter avec leur interface réseau sans fil au travers de la couche d'accès.
La combinaison et les interactions entre ces deux couches 25 créent cette notion d'infrastructure réellement affranchie de toute contrainte de câblage (infrastructure WireFree).
La figure 3 décrit la délinéation entre les deux couches de l'architecture: * Les couches d'acheminement et d'accès sont 30 architecturalement séparées, mais peuvent être implémentées en utilisant soit le même soit deux périphériques radio différents.
* La séparation entre les deux couches permet d'utiliser des technologies radio différentes pour le backbone et l'accès, par exemple backbone WiFi IEEE802.11b et accès Bluetooth.
La gestion de la couche backbone s'effectue au 5 travers du protocole spécifique à l'invention, le FMP, qui gère le déploiement du réseau maillé en respectant les règles prédéfinies. Par défaut, un backbone résilient est automatiquement créé en utilisant les informations provenant des couches ISO1 à 3. Ces informations sont 10 exploitées pour établir un maillage optimisé à partir de méthodes spécifiques à l'invention qui utilisent des algorithmes de convergence basés sur la logique floue. Par extension, ces règles de déploiement permettent de contrôler entièrement la topologie et la structure du 15 maillage.
Ce protocole FMP s'emploie uniquement à créer la couche backbone. Il utilise deux canaux de communication.
La Figure 4 représente les canaux FMP.
Le canal de commande est utilisé pour échanger les 20 informations permettant d'optimiser la structure initiale du maillage au moment de sa création mais aussi pour faire évoluer en temps réel cette structure en fonction des variations de la qualité de propagation ou de la topologie même du réseau. Cette communication s'effectue directement 25 au-dessus de l'interface sans fil si aucun lien point à point n'est encore établi, ou au travers d'un lien point à point si une connexion a été établie. Le backbone est ainsi automatiquement organisé et optimisé et termes de connectivité mais aussi de contrôle des flux de données. 30 Le canal de communication est utilisé pour l'échange de données chiffrées entre les dispositifs adjacents présents dans le backbone. Ce canal de communication est encrypté par un algorithme de type BlowFish et utilise des clés d'encodage de 128 bits. C'est un point clé de l'invention dans la mesure ou l'encryptage des données s'effectue au niveau du lien point à point et n'utilise pas les fonctionnalités incluses dans les 5 interfaces radio. Le protocole est " radio agnostique " c'est-à-dire qu'il ne dépend aucunement du type d'interface radio ni du protocole de niveau 1 employé. Cette technique garantit une très grande pérennité des équipements dans la mesure ou les normes d'encryptage intégrées dans ces 10 équipements sont en perpétuel renouvellement.
Le protocole de gestion du backbone est entièrement transparent aux utilisateurs du réseau, les équipements offrant des services de type TCP/IP résilients et 15 sécurisés.
Enfin le backbone peut être étendu par l'ajout d'équipements. L'addition de nouveaux équipements à deux conséquences: a L'augmentation de la topologie du réseau. Une 20 nouvelle station apparaît et permet d'étendre la couverture du réseau maillé sans fil.
La consolidation du backbone dans la mesure ou le réseau maillé structuré intègre les fonctionnalités d'acheminement automatique et permet donc de prendre en 25 compte une nouvelle station comme un élément susceptible d'augmenter la résilience de l'ensemble.
La Figure 5 illustre une topologie maillée structurée étendue.
L'addition de l'équipement mettant en oeuvre le 30 procédé selon l'invention permet également d'augmenter la bande passante globale du réseau. Puisque chaque équipement mettant en oeuvre le procédé selon l'invention construit une cellule radio avec une bande passante donnée, une cellule radio additionnelle créée par un autre équipement mettant en oeuvre le procédé selon l'invention ajoutera la bande passante de cette cellule à la bande passante totale agrégée du réseau. Bien entendu il est nécessaire d'assurer un recouvrement entre les cellules radio d'au moins une 5 paire d'équipements mettant en oeuvre le procédé selon l'invention pour que le maillage du réseau puisse s'établir, mais ce maillage fonctionnant essentiellement au niveau ISO 3, les aspects d'émission diffusée (broadcast) sont limités aux couches inférieures. Cependant des 10 possibilités d'émission diffusée au niveau ISO 3 demeurent dans tout le réseau, mais ces émissions diffusées sont entièrement contrôlées par la couche TCP/IP.
Les connexions des clients au backbone, à travers 15 la couche d'accès, s'appuient également sur un mécanisme de liens point à point, impliquant que toutes les communications, y compris entre les clients, transitent par l'équipement mettant en oeuvre le procédé selon l'invention.
Cette architecture offre l'avantage de rationaliser et 20 d'homogénéiser les mécanismes de supervision du réseau et de contrôle de la sécurité globale de l'infrastructure. Il convient de noter que le trafic additionnel généré par les mécanismes d'acheminement entre les clients reste faible puisque la majorité des flux de données générés par ces 25 clients sans fil seront destinés à des centres serveurs fixes, ou faiblement dynamiques.
Le contrôle global du backbone est géré par un agent contrôleur (le FilFree Mesh Controller, FMC) présent dans chaque équipement qui utilise le protocole FMP sur le 30 canal de commande pour distribuer, mettre en oeuvre et maintenir en temps réel la politique globale du réseau.
Cette fonctionnalité est un élément différenciant majeur de l'invention. La notion de politique globale regroupe quatre types d'information: * Topologie, qualité de service et déploiement du réseau, * Sécurité, ò Supervision et gestion, * Application et services spécifiques La politique est une information dynamique et distribuée qui peut être répartie à trois niveaux: * Au niveau de l'entreprise. Ce sont les règles générales appliquées à toutes les stations * Au niveau du réseau. Ce sont les règles spécifiques à un réseau donné.
* Au niveau d'un sous-réseau. Ce sont les règles spécifiques à une zone donnée.
Chaque niveau hérite des règles de niveau supérieur 15 lorsque celui-ci existe. Des spécificités peuvent être introduites localement afin de permettre un fonctionnement satisfaisant du système en cas de défaillance du service de niveau supérieur ou lorsqu'il n'est pas présent. La Figure 6 illustre la distribution de la 20 politique globale du réseau.
Chaque agent FMC intègre la fonctionnalité de client et de serveur de connexion et offre toujours une dualité des rôles. L'établissement d'une connexion s'opère comme illustré Figure 7: a un client émet une requête de connexion (FMPDRQ) en émission multiple. Tous les serveurs situés dans la zone de recouvrement de cellule radio du client reçoivent cette requête.
* A la réception de la requête du client, le 30 serveur effectue un premier contrôle de la politique de déploiement et vérifie s'il peut accepter la requête. Si oui, il renvoie une réponse au client en émission ciblée (FMPDRS). Cette réponse contient le premier niveau d'information, essentiellement relative au niveau ISO 3, que le client va utiliser au moment de la sélection du " meilleur " serveur. Un client peut recevoir des réponses de plusieurs serveurs.
* A la réception de la réponse d'un serveur, le 5 client commence à échanger des messages de type FMPBCN en émission ciblée afin de caractériser la liaison radio avec ce serveur. Cet échange est initié avec chaque serveur ayant répondu à la requête de connexion.
* Chaque serveur recevant un message FMPBCN, répond 10 par un message FMPBCN en émission ciblée, afin de caractériser la liaison radio de façon bidirectionnelle.
* Au bout d'un nombre d'échanges FMPBCN limité, le client évalue les informations relatives à chaque serveur.
Cette évaluation utilise un algorithme complexe basé sur la 15 logique floue qui corrèle les paramètres mesurés avec la politique de déploiement. Au terme de cette évaluation, si le résultat de l'évaluation le permet, le client envoie une requête de création de session (FMPSRQ) en émission ciblée vers le serveur retenu.
* A la réception de la requête de création de session du client, le serveur répond par une réponse de création de session (FMPSRS) en émission ciblée vers le client. Au terme de cette négociation, la phase d'authentification et de négociation d'encryptage peut 25 commencer.
Tous les équipements d'un réseau maillé structuré doivent être authentifiés avant qu'ils ne soient autorisés à rejoindre le réseau et offrir les services d'accès. Cette 30 authentification et l'encryptage représentent deux éléments de deuxième niveau du schéma global de politique de déploiement et un autre élément majeur différenciant de l'invention. Le contrôle d'authentification sur le backbone et la gestion d'encryptage sont gérés par l'agent présent dans chaque équipement qui utilise le protocole FMP sur le canal de communication. Le principe, illustré Figure 8, est le suivant: * Le client émet une requête d'authentification qui 5 contient un nom spécifique et un challenge. Ce challenge est un encryptage d'un mot de passe qui permet d'éviter de transférer ce mot de passe directement sur le réseau.
L'utilisation d'un challenge au lieu d'un mot de passe en clair est importante au niveau de la sécurité car le lien 10 n'est pas encore encrypté.
* A la réception de la requête d'authentification, le serveur de lien contacte le serveur d'authentification au travers du canal de communication. Ce serveur peut être local, intégré à l'équipement serveur, ou distant 15 accessible au travers du LAN.
* Au terme de la vérification des paramètres d'authentification, la négociation des clés d'encryptage commence. Un des points clés de l'invention est de supporter des clés d'encryptages différentes pour chacun 20 des liens entre équipements. Contrairement aux protocoles du type WEP décrits précédemment, les clés sont uniques, privées et unidirectionnelles ce qui signifie qu'à aucun moment la découverte d'une de ces clés ne permet de pirater l'ensemble du réseau. De plus la synchronisation des clés 25 s'effectue à l'aide d'un algorithme de type Diffie-Hellman utilisant des clés secrètes de 4096 bits, à comparer au RC4 24 bits du WEP.
* Une fois la synchronisation des clés effectuée, la dernière phase consiste à attribuer des adresses TCP/IP 30 à chacun des liens. A ce moment, le lien point à point devient actif et est automatiquement associé au canal de communication.
Il convient de noter que le protocole FMP est employé pour établir des liens entre les équipements et pour maintenir l'état de ces liens en utilisant les 5 informations des couches ISO 1 à ISO 3. Le protocole FMP est seulement utilisé pour communiquer et établir l'état entre les stations adjacentes au travers de liens point à point. Cette information d'état des liens et d'acheminement est distribuée au sein du réseau en utilisant un protocole 10 de convergence tel que chaque station maintient une vue identique de la portion du réseau maillé auquel elle est intégrée. Le rôle de ce protocole est de: * déterminer les règles d'acheminement entre les différents noeuds du réseau maillé, * déterminer les règles d'acheminement entre les extrémités du réseau maillé, notion de passerelle, * d'établir et d'optimiser en temps réel les chemins d'acheminement des flux de données au travers du canal de communication, * de supporter des fonctions de gestion de qualité de service.
Un autre point clé de l'invention est de combiner les deux protocoles, FMP et gestion d'état des liens, afin 25 d'assurer la convergence des informations du réseau maillé, de la couche ISO 1 à la couche ISO 3. Cette combinaison ouvre la possibilité d'exploiter les caractéristiques uniques de la radio, spécifiquement, la capacité de créer, de détruire et d'ajuster les liens physiques entre les 30 équipements et donc d'optimiser la topologie, les performances et la fiabilité globale du réseau maillé.
Chaque équipement participe activement à la consolidation du réseau maillé, mais aussi à la possibilité d'extension de ce réseau par ajout de nouvelles stations.
Après avoir joint le réseau au travers du composant client de son agent FMC, l'équipement active le composant serveur de cet agent afin d'accepter les demandes en provenance d'autres clients potentiels. Le comportement de l'agent FMC vis-à-vis des liens établis est le suivant: * le canal de communication du FMP permet l'échange des flux de données encryptées, * une fois le lien établi, le canal de commande du FMP est cependant maintenu et utilisé pour échanger des 10 informations de statut des liens que l'équipement supporte, * Ces informations multidimensionnelles d'état des liens sont maintenues en temps réel dans chaque équipement, * Les informations consolidées d'état des liens sont aussi distribuées à tous les équipements dans le but 15 d'optimiser dynamiquement le réseau.
* Les informations consolidées d'état des liens peuvent aussi être collectées par les outils de supervision tels que le FilFree Mesh Manager (FMM).
* La politique de déploiement de la topologie est 20 constamment évaluée pour déterminer si et quand des liens alternatifs ou additionnels doivent être créés, * La politique d'optimisation de la topologie est aussi constamment évaluée pour déterminer si des liens doivent être supprimés.
Dans n'importe quel réseau radio composé de plus de deux émetteurs et récepteurs, diverses méthodes peuvent être employées pour contrôler le partage du spectre, éviter les collisions et optimiser de ce fait la bande passante 30 disponible. La suite des protocoles IEEE802.11 est un exemple bien connu qui emploie un mécanisme de RTS/CTS pour tenter de résoudre le problème des noeuds cachés dans les réseaux ad hoc. Cependant les diverses techniques qui tentent de résoudre ce problème au niveau MAC/ISO 2 sont loin d'être efficaces.
Le protocole FMP permet des optimisations additionnelles et variables en employant l'information 5 générique de la couche physique pour déterminer si, quand et o des liens doivent être établis ou supprimés. Cette approche innovatrice est indépendante des mécanismes mis en oeuvre au niveau MAC/ISO 2 dans le dispositif radio luimême. Si la technique décrite dans l'invention basée sur 10 les politiques de déploiement n'élimine pas entièrement les risques de corruption de paquet, elle les réduit de manière significative, augmentant de ce fait la bande passante et les performances globales du réseau.
L'architecture de réseau maillé structuré décrit 15 une infrastructure à laquelle est attachée une composante hautement dynamique. Cette approche permet de s'affranchir de l'utilisation des protocoles lourds d'acheminement des flux de données par émission diffusée qui contribuent de manière significative à la corruption des paquets et 20 réduisent la bande passante disponible.
Le protocole FMP utilise l'émission diffusée uniquement pour la découverte des MeshProTM et à une fréquence qui diminue de façon exponentielle selon le nombre de liens déjà créés. Les couches de backbone et 25 d'accès fournissent un service de niveau ISO 3 au-dessus d'un réseau de liens point à point, contrairement aux points d'accès sans fil ou aux ponts de réseau qui fournissent des services de niveau ISO 2 uniquement.
Grâce à cette approche, les optimisations suivantes 30 deviennent possibles: * Les topologies construites à partir de mécanismes du niveau ISO 2 doivent exclure toute possibilité que des boucles ne soient créées. Cette limitation peut conduire à exclure l'utilisation de chemins qui pourraient fournir un raccordement plus direct entre deux stations. Le spectre radio est une ressource précieuse et en créant un doublon supplémentaire dans la même cellule radio, on divise la bande passante disponible de cette 5 cellule par deux. En utilisant une topologie de niveau ISO 3 au-dessus d'un réseau de liens point à point de niveau ISO 2 on élimine les contraintes topologiques, on optimise les chemins d'acheminement des paquets et donc la bande passante et l'efficacité spectrale.
* L'utilisation de points d'accès conventionnels fonctionnant comme dispositifs de niveau ISO 2 reliés à un LAN câblé implique que toutes les émissions diffusées en provenance de n'importe quelle station dans le réseau sont propagées à toutes les stations du réseau. Les réseaux 15 câblés utilisent des commutateurs à très haut rendement et la segmentation des domaines de collision pour minimiser ce problème. Malheureusement, le domaine de collision radio ne peut pas être segmenté de cette façon et même un niveau modéré d'émission diffusé peut nettement réduire la bande 20 passante utile du réseau sans fil. Là encore, l'utilisation d'une topologie de niveau ISO 3 permet d'éliminer les émissions diffusées de niveau ISO 2 sur le réseau sans fil et de ne pas propager les émissions diffusées provenant du LAN au domaine sans fil.
* L'architecture de réseau Microsoft repose encore fortement sur le protocole NetBIOS o/TCPIP et les mécanismes d'annonce par émissions diffusées pour établir la connectivité dans un domaine ou un groupe de travail.
Ceci influe très fortement sur la bande passante disponible 30 aux utilisateurs des points d'accès sans fil. Cependant, l'élimination des émissions diffusées compromet la capacité des PCs à se connecter à un réseau. Pour cette raison, l'invention inclue un mécanisme de gestion des raccordements NetBIOS qui permet d'intégrer des équipements sans fil à des réseaux de Microsoft sans perte de bande passante provoquée par l'utilisation des émissions diffusées.
Les points suivants doivent être pris en compte concernant l'applicabilité, l'utilisation et l'efficacité de l'invention: * Chaque réseau maillé sans fil est typiquement composé d'un groupe d'équipements de l'ordre d'une dizaine 10 plutôt que d'une centaine.
* Chaque réseau maillé sans fil doit être relativement stable en terme du nombre d'équipements qui se connectent ou disparaissent. La technologie décrite par l'invention ne s'apparente pas à celle des systèmes tels 15 que la téléphonie mobile.
* La fréquence des modifications de la topologie due à l'apparition ou la disparition d'équipements doit être de l'ordre de quelques secondes plutôt que de fraction de seconde pour les mêmes raisons que le point précédent.
* La dynamique du réseau est largement liée à celle de la couche d'accès.
* Aucun élément connecté au travers de la couche d'accès couche ne doit contribuer à l'acheminement des flux de données au travers du réseau.
* L'architecture de réseau décrite par l'invention peut exiger l'utilisation de plusieurs zones de déploiement, de plusieurs domaines d'utilisateur ou de plusieurs périmètres de sécurité.
* Des méthodes de gestion de la sécurité 30 centralisées ou distribuées peuvent être requises.
L'architecture de réseau décrite par l'invention est distincte des environnements sans fil typiques et des réseaux dits " ad hoc ", bien que certains aspects des deux scénarios soient employés. Cette architecture est typiquement adaptée dans les scénarios o la disponibilité des services et o les aspects de sécurité, de contrôle et d'environnement caractérisé sont primordiaux.
De telles possibilités sont généralement associées aux systèmes sans fil fixes, mais l'approche de réseau maillé structurée de l'invention permet de bénéficier de ces avantages tout en intégrant des environnements plus dynamiques. En revanche, les réseaux ad hoc sans fil sont 10 généralement considérés comme ayant une dynamique significative, avec des méthodes optimisées d'acheminement des flux de données permettant des temps d'établissement de l'ordre de la seconde. De telles possibilités sont idéales pour les scénarios de courte durée, mais garantir la 15 disponibilité et les performances dans un tel contexte est très problématique. Par définition, de tels réseaux sont " ad hoc ", et nécessitent une grande autonomie de déploiement contrairement à l'approche structurée de l'invention dans laquelle des politiques de déploiement et 20 de fonctionnement peuvent être imposées.
L'architecture de réseau maillé structuré sans fil possède la capacité de fonctionner indépendamment de toute infrastructure câblée, mais aussi de prolonger, d'intégrer 25 ou de fusionner avec les réseaux câblés LAN.
Plusieurs topologies de réseaux sont supportées et peuvent être déployées.
Les connexions entre équipements ne peuvent s'effectuer qu'au sein de la même zone. Un réseau contigu 30 simple fonctionnellement équivalent à un LAN sans fil est créé.
La figure 9 décrit un réseau non partitionné autonome simple. L'équipement passerelle remplit deux fonctions: * Il fournit typiquement la connectivité entre le réseau maillé sans fil et un réseau externe tel que l'Internet. Cette connectivité peut être variée tels que l'ADSL, ISDN, LAN Ethernet etc...
* Cet équipement passerelle représente la " racine " du réseau et doit être présent pour que le réseau maillé sans fil puisse être créé. Des passerelles multiples peuvent être utilisées pour consolider la résilience, cependant la connectivité directe entre ces 10 passerelles doit être assurée.
Les réseaux non partitionnés (comme ceux de la Figure 10) offrent des avantages de sécurité et de gestion simplifiée, mais ils exigent la construction d'un réseau sans fil contigu.
Les connexions entre équipements s'effectuent au sein d'une même zone logique, mais le partitionnement est autorisé. Cette configuration a pour conséquence de réduire le déterminisme ainsi que le niveau de sécurité et la facilité de gestion du réseau. Si un équipement d'une 20 partition parvient à joindre la cellule radio d'un équipement appartenant une autre partition, alors les deux réseaux partitionnés pourront se combiner en un réseau contigu simple.
Les réseaux multi zones (comme sur la Figure 11) sont totalement indépendants et se comportent comme des réseaux séparés. Dans ce scénario, il est impossible pour les équipements de la zone 1 de se connecter aux équipements de la zone 2, même si les cellules radio de ces 30 équipements se recouvrent. Chaque réseau possède son propre périmètre de sécurité et les utilisateurs d'une zone ne pourront pas accéder aux ressources de l'autre zone.
Il devient possible de créer des réseaux totalement indépendants dans le même bâtiment ou même dans le même périmètre physique. Ces réseaux séparés peuvent cependant communiquer par l'intermédiaire de leur passerelle respective ou en utilisant la configuration multi zones connectées.
Dans le scénario de réseau multi zones connectées (Figure 12), deux zones indépendantes sont interconnectées directement ou indirectement à travers une zone partagée.
Dans les deux cas, les passerelles existent simultanément 10 dans chaque zone, respectivement la zone " privée " (zone #1 ou zone #2 dans l'exemple ci-dessous) et la zone partagée. Lorsqu'une passerelle est reliée en mode multi zone, un périmètre de sécurité est construit à l'intersection des deux zones sans compromettre la sécurité 15 de l'une ou l'autre des zones privées. Cette topologie offre la capacité d'établir une infrastructure globale tout en permettant d'établir des sous-infrastructures privées sécurisées. Les zones indépendantes peuvent se connecter en toute sécurité à cette infrastructure globale au travers de 20 leurs passerelles respectives. Il devient possible de créer des sous-réseaux totalement indépendants dans le même bâtiment ou même dans le même périmètre physique qui partagent éventuellement les ressources de la zone partagée sans compromettre la sécurité ni l'intégrité de ses 25 ressources privées. La capacité d'extension et la flexibilité de cette topologie est une caractéristique fondamentale de l'invention.
La présente invention se rapporte également à un 30 nouveau procédé de sécurisation de réseau sans fil permettant la distribution sécurisée des données acheminées. Ce procédé comprend un nouveau protocole de communication entre les membres du réseau ainsi que des mécanismes d'authentification. Lorsqu'il est utilisé, ce procédé apporte des avantages en termes de sécurité et d'intégrité des données et de vérification de l'utilisation de ce réseau.
La technologie actuelle des réseaux sans fil pose 5 de nombreux de sécurité et d'intégrité des données échangées. L'invention permet de résoudre ces problèmes de façon innovante.
Les technologies actuelles de réseaux sans fil et plus particulièrement WLAN et Wifi adoptent la suite de 10 norme IEEE 802.11. Cette norme définit principalement une méthode d'accès, ou connectivité, sans fil à un réseau câblé. On parle généralement de points d'accès (AP). Un point d'accès est un transmetteur sans fil qui permet la connexion sans fil à un réseau câblé de type LAN. Un point 15 d'accès gère cette connexion de telle façon que les clients du réseau câblé et les clients du réseau sans fil ont l'illusion d'être membre d'un même réseau.
Il y a deux modes de fonctionnement: le mode dit "Infrastructure" et le mode "Ad hoc".
En mode "Infrastructure", chaque station est en liaison avec une station de base qui sert de pont entre le réseau câblé et les clients sans-fil. Si plusieurs stations de base sont connectées sur le même réseau câblé, le client sans-fil peut librement passer d'une station à l'autre. Les 25 paramètres de configuration standard sont les suivants: * Tous les équipements doivent être mis en Mode "Infrastructure".
* Tous les clients doivent utiliser le même nom de réseau (paramètre SSID) .
* Tous les points d'accès doivent utiliser le même nom de réseau (paramètre ESSID).
* Toutes les stations doivent utiliser la même clé de chiffrement (paramètre WEP) ou pas de clé.
Il faut choisir les canaux utilisés par chaque point d'accès. Les clients se connecteront automatiquement au point d'accès le plus proche. Pour l'attribution des adresses TCP/IP, on peut soit utiliser le service DHCP s'il 5 existe sur le réseau câblé soit attribuer des adresses TCP/IP comme si le poste fait partie du réseau câblé.
Le mode "Ad Hoc" permet de créer des groupes de travail mobiles sans station de base. Les machines 10 échangent directement des messages entre elles. Les contraintes de configuration sont les suivantes: * Tous les clients doivent être mis en Mode "Ad Hoc".
* Tous les clients doivent utiliser le même nom de 15 réseau (paramètre SSID).
* Tous les clients doivent utiliser la même clé de chiffrement (paramètre WEP) ou pas de clé.
* Tous les clients doivent utiliser le même canal de communication.
La connexion au réseau sans fil s'effectue au niveau ISO 3. Chaque interface sans fil dispose d'une adresse TCP/IP qui peut être attribuée au moment de la configuration (adresse TCP/IP fixe) ou par un service DHCP 25 disponible sur le réseau câblé. Afin de garantir l'acheminement correct des données, il faut attribuer à chaque poste une adresse TCP/IP différente dans le même sous réseau.
La méthode d'encryptage des données est appelée 30 WEP. Ce mécanisme comporte de nombreuses faiblesses. Le WEP utilise l'algorithme de codage RC4 qui utilise la même clé pour chiffrer et déchiffrer les paquets, cette clé pouvant être de 40 jusqu'à 128 bits. Les faiblesses de ce protocole et des mécanismes d'échange des clés sont telles qu'un pirate peut déchiffrer un message en analysant l'équivalent d'environ cinq heures de transmission de données. De plus, le gestionnaire de clés de codage de WEP peut réutiliser les mêmes clés de façon cyclique, il devient possible 5 d'analyser le trafic du réseau et de corréler les données aux clés utilisées, ce qui permet ensuite de casser les codes. Ces techniques de piratages sont tout aussi efficaces sur des codages RC4 à 40 bits que sur ceux a 128 bits. Enfin, les mécanismes d'authentification ne sont 10 pas basés sur une authentification mutuelle.
Un but de la présente invention est de proposer un procédé de sécurisation des réseaux sans fil qui soit indépendante des mécanismes intégrés dans les équipements WLAN. Ce procédé, par extension, peut être appliqué non 15 seulement aux équipements de type Wifi/802. 11 mais aussi à tout équipement de réseau qui respecte le modèle ISO.
Un autre but de l'invention est d'utiliser une méthode d'encryptage des données à haute fiabilité entre 20 chaque noeud du réseau sans fil.
Un autre but de l'invention est d'utiliser des clés d'encryptage différentes pour chaque noeud du réseau sans fil.
Ces buts sont atteints par l'utilisation d'un protocole de création des liens entre les noeuds du réseau adapté aux contraintes des réseaux sans fil. Ce protocole spécifique à l'invention (FMP) inclus au moins un algorithme de découverte des noeuds adjacents et au moins un 30 algorithme de contrôle de création des liens.
Ces buts sont atteints par l'utilisation d'une méthode qui n'utilise par le mécanisme d'encryptage WEP mais une méthode d'encryptage des paquets de données qui transitent au travers l'interface sans fil.
Ces buts sont atteints en utilisant l'interface sans fil au niveau ISO 2 sans qu'elle ne dispose d'une adresse TCP/IP.
Ces buts sont atteints en utilisant un protocole de 5 type PPP (point-topoint protocol) pour créer la connectivité au niveau 3 ISO (TCP/IP). L'adresse TCP/IP est attribuée uniquement après que la station désirant se connecter est été authentifiée.
Ces buts sont atteints par l'utilisation d'une 10 méthode d'échange des clés d'encryptage entre les noeuds du réseau. Cette méthode inclus au moins un algorithme d'échange de clés d'encryptage.
Ces buts sont atteints par l'utilisation d'une méthode d'encryptage des paquets de données échangés entre 15 les noeuds du réseau. Cette méthode inclus au moins un algorithme d'encryptage des données utilisant des clés privées.
Le mécanisme d'échange des paquets de données est représenté figure 13. Cette figure décrit une connexion 20 sécurisée entre deux stations. Ce procédé est ensuite étendu à toutes les connexions des stations du réseau sans fil qui participent au réseau.
Le fonctionnement du procédé est le suivant 25 À Accès PHYSIQUE La connectivité PHYSIQUE est assurée par l'interface sans fil. On attribue les paramètres suivants: 30 w Tous les clients doivent être mis en Mode "Ad Hoc".
a Tous les clients doivent utiliser le même canal de communication.
* Tous les clients doivent utiliser le même nom de réseau (paramètre SSID) .
* Tous les clients ne doivent pas utiliser de clé de chiffrement (paramètre WEP).
* Accès LIAISON La création des liens s'effectue à ce niveau par le protocole FMP. Ce protocole décrit un procédé de création 10 dont le fonctionnement, illustré figure 14, est le suivant * un client émet une requête de connexion (FMPDRQ) en émission multiple. Toutes les stations situées dans la zone de recouvrement de cellule radio du client reçoivent 15 cette requête.
* A la réception de la requête du client, la station vérifie s'elle peut accepter la requête. Si oui, il renvoie une réponse au client en émission ciblée (FMPDRS).
* A la réception de la réponse FMPDRS, le client 20 commence à échanger des messages de type FMPBCN en émission ciblée afin de caractériser la liaison. Cet échange est initié avec chaque serveur ayant répondu à la requête de connexion.
* Chaque serveur recevant un message FMPBCN, répond 25 par un message FMPBCN en émission ciblée, afin de caractériser la liaison de façon bidirectionnelle.
* Au bout d'un nombre d'échanges FMPBCN limité, le client évalue les informations relatives à chaque station.
Au terme de cette évaluation, si le résultat 30 de l'évaluation le permet, le client envoie une requête de création de session (FMPSRQ) en émission ciblée vers la station retenue.
A la réception de la requête de création de session du client, le serveur répond par une réponse de création de session (FMPSRS) en émission ciblée vers le client. Au terme de cette négociation, la phase de création 5 de niveau 3 au travers du protocole PPP ainsi que l'authentification et la négociation d'encryptage peut commencer.
Les échanges de clés et l'encryption des paquets 10 sont mis en ouvre comme décrit précédemment.
L'invention est décrite dans ce qui précède à titre d'exemple. Il est entendu que l'homme du métier est à même de réaliser différentes variantes de l'invention sans pour 15 autant sortir du cadre du brevet.

Claims (5)

REVENDICATIONS
1 - Procédé de mise en oeuvre d'une architecture de réseau local sans fil d'échange de données numériques 5 comportant une pluralité d'équipements comportant chacun des ressources client et des ressources serveur ainsi que des moyens d'interconnexion desdits équipements par maillage, caractérisé en ce que ledit procédé comporte des étapes de définition de règles de déploiement du réseau, et 10 des étapes d'application de ces règles au moment de chaque création d'une connexion entre une ressource client d'un équipement et une ressource serveur d'un autre équipement dudit réseau local.
2 - Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon la revendication 1, caractérisé en ce que lesdites règles sont hiérarchiquement distribuées à plusieurs niveaux, chacun desdits niveaux comportant les ressources suffisantes pour son fonctionnement. 20 3 Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon la revendication 1 ou 2, caractérisé en ce que lesdits échanges de données numériques sont sécurisés grâce à des moyens d'encryptage 25 spécifiques et indépendants du protocole radio utilisé.
4 - Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce que le réseau 30 sans fil met en oeuvre une norme du type 802.11, BlueTooth ou DECT.
- Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce qu'il comprend en outre des étapes de supervision desdits échanges de données et du trafic desdites données numériques.
6 - Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon l'une au moins des revendications précédentes, caractérisé en ce qu'il comprend en outre des étapes d'optimisation en temps réel 10 de la structure du réseau, ces étapes permettant de garantir la qualité de service dudit réseau.
7 - Procédé de mise en oeuvre d'une architecture de réseau local sans fil selon l'une au moins des 15 revendications précédentes, caractérisé en ce qu'il comprend en outre une étape d'intégration d'au moins un nouvel équipement, cette intégration permettant d'étendre la couverture du réseau et étant réalisée en mettant en oeuvre lesdites règles de déploiement. 20 8 - Architecture de réseau local pour la mise en oeuvre du procédé selon l'une au moins des revendications précédentes.
FR0350234A 2003-06-19 2003-06-19 Architecture de reseau local sans fil Pending FR2856540A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0350234A FR2856540A1 (fr) 2003-06-19 2003-06-19 Architecture de reseau local sans fil
PCT/FR2004/050225 WO2005002147A1 (fr) 2003-06-19 2004-06-18 Architecture de reseau local sans fil

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0350234A FR2856540A1 (fr) 2003-06-19 2003-06-19 Architecture de reseau local sans fil

Publications (1)

Publication Number Publication Date
FR2856540A1 true FR2856540A1 (fr) 2004-12-24

Family

ID=33484728

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0350234A Pending FR2856540A1 (fr) 2003-06-19 2003-06-19 Architecture de reseau local sans fil

Country Status (2)

Country Link
FR (1) FR2856540A1 (fr)
WO (1) WO2005002147A1 (fr)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002023362A1 (fr) * 2000-09-12 2002-03-21 Netmotion Wireless, Inc. Procede et appareil permettant de fournir une connectivite mobile et d'autres types de connectivite intermittente dans un environnement de calcul
US20020052968A1 (en) * 2000-01-31 2002-05-02 Rudy Bonefas Messaging method and apparatus for routing messages in a client server environment over multiple wireless and wireline networks
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20030028612A1 (en) * 2001-08-01 2003-02-06 Intel Corporation System and method for providing mobile server services
US6519241B1 (en) * 1997-10-15 2003-02-11 Nokia Mobile Phones Limited Mobile telephone for internet-applications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6519241B1 (en) * 1997-10-15 2003-02-11 Nokia Mobile Phones Limited Mobile telephone for internet-applications
US20030076792A1 (en) * 1997-10-15 2003-04-24 Wolfgang Theimer Mobile telephone for internet-applications
US20020052968A1 (en) * 2000-01-31 2002-05-02 Rudy Bonefas Messaging method and apparatus for routing messages in a client server environment over multiple wireless and wireline networks
WO2002023362A1 (fr) * 2000-09-12 2002-03-21 Netmotion Wireless, Inc. Procede et appareil permettant de fournir une connectivite mobile et d'autres types de connectivite intermittente dans un environnement de calcul
US20020069278A1 (en) * 2000-12-05 2002-06-06 Forsloew Jan Network-based mobile workgroup system
US20030028612A1 (en) * 2001-08-01 2003-02-06 Intel Corporation System and method for providing mobile server services

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANON: "Archive.org", ARCHIVE.ORG WEB SITE, 25 March 2004 (2004-03-25), pages 1, XP002275138, Retrieved from the Internet <URL:www.archive.org> [retrieved on 20040325] *
ANON: "Filfree - Wire-free Horizons", FILFREE WEB SITE, 9 June 2003 (2003-06-09), pages 1 - 23, XP002275137, Retrieved from the Internet <URL:www.filfree.com> [retrieved on 20040325] *

Also Published As

Publication number Publication date
WO2005002147A1 (fr) 2005-01-06

Similar Documents

Publication Publication Date Title
EP1864466A1 (fr) Dispositif et procede de communication dans un reseau
ES2796473T3 (es) Sistema de red que tiene interfaces virtuales y un módulo de enrutamiento para una red virtual
US7881667B2 (en) Methods and apparatus for secure, portable, wireless and multi-hop data networking
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d&#39;appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
WO2006071239A2 (fr) Systeme et procede pour communications mobiles ad hoc securisees et applications
EP2572474B1 (fr) Architecture pour reseau ad-hoc
EP1598997B1 (fr) Routage au sein d&#39;un réseau de communication
EP3682600B1 (fr) Gestion de la connexion avec d&#39;autres passerelles residentielles d&#39;une passerelle residentielle mettant en oeuvre l&#39;agregation de liens
WO2008155508A1 (fr) Procede de distribution de cle d&#39;authentification, terminal, serveur de mobilite et programmes d&#39;ordinateurs correspondants
WO2020183100A1 (fr) Mitigation d&#39;attaques informatiques
WO2014146743A1 (fr) Procede et dispositif de gestion de la connectivite d&#39;un terminal par un serveur mobile dans un reseau de telecommunications
EP2575389A1 (fr) Procede pour fiabiliser la continuite des communications operees a partir d&#39;un terminal mobile 4G relie a un reseau d&#39;interconnexion ip
FR2856540A1 (fr) Architecture de reseau local sans fil
EP3829101B1 (fr) Procede de securisation de flux de donnees entre un equipement de communication et un terminal distant, equipement mettant en oeuvre le procede
EP3881523B1 (fr) Procède et système de gestion de serveurs dhcp
WO2021074412A1 (fr) Procede de connexion d&#39;un noeud de communication, et noeud de communication correspondant
EP4080923B1 (fr) Dispositif électronique de gestion décentralisée de groupe(s) de communication
WO2014053710A1 (fr) Passerelle d&#39;accès sécurisé a un système d&#39;information
Kim et al. Marconi Protocol
FR3138254A1 (fr) Procédé de fédération dynamique d&#39;une plurialité de réseaux de radiocommunication, programme d&#39;ordinateur et réseau associés
EP3530036B1 (fr) Procédé d&#39;appairage auprès d&#39;une passerelle
EP4113900A1 (fr) Procede et dispositif de securisation d&#39;un reseau local comprenant un commutateur reseau auquel est reliee une station par liaison filaire
FR3126829A1 (fr) Procédé de configuration d&#39;une jonction pour un routage conforme au protocole de passerelle de bordure - bgp et routeur de bordure associé
WO2023111432A1 (fr) Mécanismes de communication avec un service accessible via un réseau de télécommunication prenant en compte la mobilité des services, des utilisateurs et des équipements
WO2022238644A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe